Enable Azure AD Identity Protection sign-in risk policies
Prečo je to dôležité
Neobmedzený prístup k administratívnym portálom Microsoftu vystavuje citlivé konfigurácie nájomníkov a privilegované operácie používateľom bez administratívnych oprávnení. Hoci predvolený prístup na portály obmedzuje, čo môžu používatelia vidieť, povolenie širokého prístupu na prihlásenie zvyšuje riziko administratívnych chýb, zraniteľností spôsobených CSP alebo laterálneho pohybu počas narušenia. Obmedzenie prístupu na portály na určené administratívne roly je základným opatrením obrany do hĺbky na ochranu najcitlivejších údajov vašej organizácie.
Čo kontroluje Aether365
Aether365 overuje, či existuje politika podmieneného prístupu (Conditional Access) a či je nakonfigurovaná na blokovanie prihlásení do administratívnych portálov Microsoftu pre používateľov, ktorí nie sú správcami. Táto kontrola sa zobrazuje v paneli Aether365 v sekcii bezpečnostných kontrol entra-id.
Ako to opraviť
- Prihláste sa do portálu Azure Portal a otvorte Microsoft Entra ID.
- V ľavom navigačnom menu vyberte položku Security, potom vyberte Conditional Access.
- Kliknite na + New policy a nakonfigurujte nasledujúce nastavenia:
- Name: zadajte popisný názov, napríklad "Block Non-Admin Access to Admin Portals".
- Assignments > Users and groups: zahrňte všetkých používateľov, potom vylúčte núdzové break-glass účty a všetky servisné účty, ktoré vyžadujú legitímny prístup na administratívne portály.
- Assignments > Cloud apps or actions: vyberte Microsoft Admin Portals zo zoznamu zahrnutých cloudových aplikácií.
- Access controls > Grant: vyberte Block access.
- Nastavte Enable policy na Report-only, najprv skontrolujte vplyv v denníkoch prihlásení, potom prepnite na On.
Súlad s normami
- CIS Microsoft 365 Foundations Benchmark 3.1.0 5.2.2.8 (E3 Level 1)
- Microsoft Entra ID security baseline